सरकारी डेटा विदेशीको हातमा, सिस्टम अपडेट नहुँदा साइबर हमला र डेटा हराउने उच्च जोखिम

असार ३०, २०७९ २२:१०

काठमाडौं । नेपाल सरकारका सबै सरकारी कार्यालयहरूले गर्ने टेन्डर तथा खरिदको सम्पूर्ण कागजात विदेशी कम्पनीको पहुँचमा रहेको पाइएको छ । बुधबार सार्वजनिक महालेखा परीक्षकको ५९ प्रतिवेदनले नेपालको सूचना प्रविधिको गोपनीयता गम्भिर जोखिममा रहेको तथ्य बाहिर ल्याएको हो ।

प्रधानमन्त्री तथा मन्त्रिपरिषद्‌को कार्यालय अन्तर्गत रहेको सार्वजनिक खरिद अनुगमनको कार्यालयले कम्प्युटर प्रणालीको सेवा तथा गोपनीयता सम्बन्धी एक विदेशी परामर्शदातासँग सम्झौता गरेको छ । उक्त कम्पनीसँग भएको दुई वर्षे सम्झौताको म्याद सकिएपछि गोपनीयता भङ्ग भएमा परामर्शदातालाई जिम्मेबार बनाउन नसकिने गरी सम्झौता गरिएको छ ।

सम्झौता अनुसार २ वर्षसम्म मात्र गोपनीयता कायम गर्नुपर्ने व्यवस्था उल्लेख गरेर परामर्शदाताले उन्मुक्ति पाउने प्रावधान राखिएको प्रतिवेदनमा उल्लेख छ ।

“सम्झौता समाप्त भएपछि पनि सदैव तथ्याङ्कको गोपनीयता कायम गर्नुपर्ने प्रावधान राख्नुपर्दछ,” प्रतिवेदनमा भनिएको छ, “कार्य सम्पन्न भए पश्चात् पनि प्रतिवेदन तथ्याङ्क तथा सूचना (डेटाबेस र कागजात समेत) परामर्शदाताले राख्न पाउने व्यवस्था गरेको पाइयो । यसले गर्दा व्यावसायिक सम्झौताको समाप्ति पश्चात् पनि बाह्य व्यक्तिसँग सूचनाको पहुँच रहिरहने हुँदा सरकारी गोप्य सूचना चुहावट र दुरुपयोग हुनसक्ने अवस्था छ ।”

महालेखाले त्यस किसिमको अवस्थालाई नियन्त्रण गर्न सरकारलाई सुझाव दिएको छ । परामर्शदाता कम्पनी तथा सो कम्पनीका विदेशी कर्मचारीले नेपालमा रहेर काम गर्दा कानूनी प्रावधान पूरा गर्न कुनै निकायमा दर्ता हुनुपर्ने वा गर्नुपर्ने भएमा त्यस्तो दर्ता गर्नु नपर्ने गरी सार्वजनिक खरिद अनुगमन कार्यालयले छुट दिलाउन सहयोग गर्नुपर्ने प्रावधान समेत सम्झौतामा राखिएको छ ।

प्रणाली सञ्जाल सुरक्षा कार्यालयले सञ्चालनमा ल्याएको प्रणालीले लामो समयसम्म सञ्जाल सुरक्षाका न्यूनतम मापदण्ड समेत पूरा गरेको नपाइएको महालेखाले फेला पारेको छ । न्यूनतम मापदण्ड पूरा नगर्दा प्रणाली सञ्चालनमा जोखिम सिर्जना हुने भन्दै महालेखाले हालै मात्र नेक्स्ट जेनेरेसन फायरवाल खरिद गरी जडान प्रक्रियामा रहेको छ ।

तर आपूर्तिकर्ताले कार्यालयलाई हस्तान्तरण नगरेकै अवस्थामा त्यस्तो फायरवाल जडान गरी प्रयोगमा ल्याएकाले प्रणालीमा जोखिम सिर्जना हुन सक्ने महालेखाको ठहर छ । “कार्यालयको सुरक्षा, निर्देशिका र नीतिको अभावमा आपूर्तिकर्ता र प्रणालीको सपोर्ट दिने तेस्रो पक्षको अनुभवको आधारमा फायरवाल उपयोग गर्ने नियम लेखिनुले प्रणाली प्रयोगमा चुनौती र जोखिम दुवै रहेको देखिन्छ,” प्रतिवेदनमा भनिएको छ ।

कार्यालयले खरिद गरेको उक्त फायरवालले मात्रै सम्पूर्ण सञ्जाल सुरक्षा प्रदान गर्न नसक्ने हुँदा सुरक्षा चुनौतीलाई ध्यान दिई प्रणालीलाई अनुपलब्ध बनाउने आक्रमण रोकथाम गर्ने र वेब एप्लिकेसनलाई जोगाउने फायरवालको सञ्जाल सुरक्षा थप नगर्दा प्रणाली उच्च जोखिममा रहने देखिएको ।

कार्यालयले सञ्चालनमा ल्याएको प्रणालीले लामो समयसम्म सञ्जाल सुरक्षाका न्यूनतम मापदण्डसमेत पूरा नगरेको उल्लेख छ । यस्तोमा प्रणालीको सञ्जाल सुरक्षाका न्यूनतम मापदण्ड पूरा गर्न आवश्यक संयन्त्र लागू गर्नुपर्ने महालेखाको राय छ ।

सार्वजनिक खरिद प्रक्रियामा प्रतिस्पर्धा, स्वच्छता, इमानदारिता जवाफदेहिता र विश्वसनीयता प्रवर्द्धन गर्न जारी भएको सार्वजनिक खरिद ऐन, २०६३ को दफा ६९ अनुसार विद्युतीय माध्यमबाट खरिद कार्य हुनसक्ने गरी पहिलो पटक खरिद प्रक्रियामा सूचना प्रविधिको प्रयोग सुरु भएको हो ।

विद्युतीय खरिद प्रणाली विकास तथा विस्तार गर्ने क्रममा प्रोसेस रि-इन्जिनियरिङ गरी सोहीअनुसार खरिद ऐन, नियमावली तथा निर्देशिकामा आवश्यक परिमार्जन गरी प्रणाली निर्माण तथा कार्यन्वयन गर्नुपर्ने थियो । तर सो अनुरूप नगरी मूलभूत रूपमा विद्यमान प्रक्रियाहरू

नै डिजिटाइज गरिएको महालेखाले जनाएको छ । प्रणाली लागू भएको ७/८ वर्षसम्म पनि प्रयोगकर्तामैत्री एवम् प्रयोग गर्न सहज नभएको उल्लेख छ ।

प्रणाली विकास गर्दा सरोकार पक्ष, ई-बिडिङ कार्य प्रवाह व्यवस्थापन प्रणाली, प्रशासनिक व्यवस्थापन, विद्युतीय ठेक्का व्यवस्थापन प्रणाली, बैंकिङ उपकरण प्रमाणीकरण, सार्वजनिक खरिद व्यवस्थापन सूचना प्रणाली र प्रणाली सुरक्षा प्रशासन जस्ता मोड्युल प्रयोग गरिएको छ ।

तर त्यस मध्ये विद्युतीय ठेका व्यवस्थापन प्रणाली हालसम्म पूर्ण रूपमा लागू हुन सकेको साथै अन्य मोड्युलहरू पनि आंशिक रूपमा मात्र लागू भएको महालेखाको प्रतिवेदनमा उल्लेख छ ।

साइबर सुरक्षाका हिसाबले पनि जोखिमपूर्ण

सूचना प्रविधि प्रणालीको विभिन्न कम्पोनेन्ट सुरक्षित तरिकाले प्रयोग गर्न निरन्तर रूपमा अद्यावधिक गरिरहनुपर्ने हुन्छ । विद्युतीय सरकारी खरिद प्रणाली सुरक्षाको हिसाबले निरन्तर रूपमा अद्यावधिक गरीरहनुपर्ने प्रकृतिको अत्यन्तै संवेदनशील प्रणाली हो ।

विद्युतीय सरकारी खरिद प्रणाली विकास गर्दाको समयमा प्रयोग गरिएका कम्पोनेन्टमा थप सुविधा र सुरक्षा सहितका नयाँ संस्करण उपलब्ध भए पनि कार्यालयले नियमित अद्यावधिक नगरेको महालेखाले जनाएको छ । पुरानो संस्करण लामो समयसम्म उपयोग गरिरहँदा प्रणालीमा साइबर सुरक्षाका दृष्टिकोणले जोखिम सिर्जना हुनसक्ने देखिन्छ ।

प्रणालीको मोड्युल कागजात व्यवस्थापन प्रणालीको लागि अलफ्रेस्को नामको अत्यन्तै पुरानो तथा सपोर्ट नभएको कम्युनिटी भर्सन प्रयोग गरिएको छ । उक्त मोड्युलमा सपोर्ट सुविधा नलिएका कारण कागजात व्यवस्थापन प्रणालीमा समस्या भएर कागजात प्राप्त गर्न नसकिने जोखिम रहेको महालेखाको निष्कर्ष छ ।

त्यसैगरी अन्य ८ मोड्युलको नयाँ संस्करण उपलब्ध भैसके पनि सुरुदेखि हालसम्म संस्करण अपडेट नगरी पुरानै संस्करण प्रयोगमा ल्याइएको छ । कार्यालयले उपयोग गरिरहेको पुरानो संस्करणका प्राविधिक कम्पोनेन्ट नियमित रूपमा अद्यावधिक गरी सम्भावित सुरक्षा जोखिमलाई न्यूनीकरण गर्नुपर्ने सुझाव महालेखाको प्रतिवेदनले दिएको छ ।

साथै सूचना प्रविधि यन्त्र उपकरणहरूमा लामो समयसम्म सूचना भण्डारण गर्ने हार्ड डिस्क, सीडी, म्याग्नेटिक टेप, म्याग्नेटिक डिस्क, माइक्रो फिल्म, चिप्स, मेमोरी कार्ड, फ्ल्याश स्टोरेज, फ्लपी डिस्क, जिप डिस्क, अप्टिकल डिस्क, डीभीडी, म्याग्नेटो अप्टिकल डिस्क, सिम कार्ड र पेन ड्राइभ जस्ता भण्डारण डिभाइसहरू जडान भएका हुन्छन् ।

सूचना प्रविधिसम्बन्धी यन्त्र उपकरणहरू लिलाम बिक्री र मिनाहा गर्दा त्यसमा जडान भएका सूचना भण्डारण गर्ने डिभाइसहरू पनि सँगै लिलाम र सूचना बाहिरिने दुरुपयोग हुने जोखिम रहन्छ । सूचना प्रविधिसम्बन्धी यन्त्र उपकरणमा जडान भएको भण्डारण डिभाइसलाई राखेर वा नष्ट गरेर मात्र लिलाम बिक्री गर्ने कार्यालयको कुनै नीति नै नरहेको महालेखाले जनाएको छ ।

यसरी लिलाम बिक्री भएका यन्त्र उपकरणमा भण्डारण गरेका सूचना तथा तथ्याङ्क बाहिरिने र दुरुपयोग हुने जोखिम रहेको छ । त्यस प्रकारका डिभाइस नष्ट गर्ने कार्यविधि नरहेको अवस्थामा कार्यविधि तयार नभएसम्म त्यस्ता डिभाइस (जस्तै हार्ड डिस्क) लाई यन्त्र उपकरणबाट निकालेर सुरक्षित राखेपश्चात् मात्र लिलाम बिक्री गर्न महालेखाले सुझाएको छ ।

सूचना प्रविधि यन्त्र उपकरणको लिलाम बिक्री गर्ने वा मिनाहा गर्ने प्रावधानको लागि नीतिगत व्यवस्था गरी सोको कार्यान्वयन गर्न समेत महालेखाले भनेको छ ।

छैन अडिट ट्रेल

सार्वजनिक सेवा प्रवाहका लागि उपयोगमा ल्याएको सफ्टवेयरमा प्रणाली सञ्चालनका सम्पूर्ण क्रियाकलाप जस्तै अपरेटिङ सिस्टम, एप्लिकेसन, प्रयोगकर्ताका क्रियाकलाप, कम्प्युटरमा भएका प्रत्येक घट्नाको स्वचालित रूपमा परीक्षण गरी सूचना प्रविधि लेखापरीक्षणका लागि आवश्यक पर्ने सूचना तथा डेटा स्वतः उपलब्ध गराउने अडिट ट्रेल हुनुपर्छ ।

तर विद्युतीय सरकारी खरिद प्रणालीमा सफ्टवेयर निर्माण गर्दादेखि नै समावेश हुनुपर्ने ‘अडिट ट्रेल’ नरहेको पाइएको छ ।

अडिट ट्रेल नहुँदा सफ्टवेयरमा आइपर्ने घटना तथा समस्या बारेमा जानकारी नहुने र सामान्य भन्दा सामान्य त्रुटि समेत तुरुन्तै पत्ता लगाउन नसकिने र प्रणालीको गतिविधिको अनुसन्धान गर्नु परेको खण्डमा आवश्यक सूचना प्राप्त नहुने अवस्था सिर्जना हुन्छ । यस्तोमा तत्काल उक्त प्रणालीमा अडिट ट्रेलको व्यवस्था समावेश गर्नुपर्ने महालेखाको निष्कर्ष छ ।

स्टोरेज डिभाइस अपडेट गर्ने जनशक्ति नै छैन

कार्यालयलाई प्रति थान २० टेराबाइट क्षमता भएको २ थान युनिटी सान स्टोरेज डिभाइस राष्ट्रिय सूचना प्रविधि केन्द्रले उपलब्ध गराएको थियो । तर त्यसको औपचारिक हस्तान्तरण भने प्राप्त नभएको बताइएको छ ।

डिभाइस सपोर्ट र क्षमताको सम्बन्धमा जिम्मेवारी स्पष्ट नभएकाले प्रारम्भिक सेटअप तथा कन्फिग्रेसन पश्चात् डिभाइसको वार्षिक मर्मत तथा सपोर्ट र क्षमता व्यवस्थापनको काम हुन नसकेको बताइएको छ । कर्मचारीलाई स्टोरेज डिभाइसको व्यवस्थापन सम्बन्धी तालिम नभएकोले डिभाइसमा आवश्यक परिवर्तन तथा अपडेट गर्न समेत नसकिएको कार्यालयले जनाएको छ ।

राष्ट्रिय सूचना प्रविधि केन्द्रबाट आधिकारिक रूपमा हस्तान्तरण प्राप्त नभएकाले वारेन्टी तथा ग्यारेन्टीको उपयोग गर्न सकिने अवस्था छैन । सपोर्ट तथा व्यवस्थापनको लागि राष्ट्रिय सूचना प्रविधि केन्द्रबाट खर्च हुनसक्ने जोखिम महालेखाले औँल्याएको छ ।

स्टोरेज डिभाइसको प्राप्तिसँगै राष्ट्रिय सूचना प्रविधि केन्द्रबाट वारेन्टी, ग्यारेन्टी र सपोर्ट तथा व्यवस्थापनका कागजातसमेत हस्तान्तरण प्राप्त हुनुपर्ने उल्लेख छ । प्राप्त स्टोरेज डिभाइसको सपोर्ट तथा व्यवस्थापनमा राष्ट्रिय सूचना प्रविधि केन्द्रसँग दोहोरो खर्च नभएको सुनिश्चित गर्न समेत महालेखाले भनेको छ ।

छैन डेटाको वैकल्पिक संरक्षण

केन्द्रिय डेटा सेन्टरमा प्राकृतिक विपत्ति वा अन्य कुनै कारणले भण्डारण भएको तथ्याङ्क उपलब्ध हुन नसक्ने अवस्था आइपरेमा तथ्याङ्क प्राप्त हुने गरी तथ्याङ्क भण्डारणको वैकल्पिक व्यवस्था गर्नुपर्ने हुन्छ । कार्यालयको सरकारी एकीकृत डेटा केन्द्रमा कोलोकेसन सेवा लिएर यन्त्र उपकरण जडान गरेर तथ्याङ्क सोही स्थानमा मात्र भण्डारण गरिएको छ ।

तर अन्य स्थानमा भने तथ्याङ्क भण्डारणको वैकल्पिक व्यवस्था गरिएको छैन । कार्यालयको सरकारी एकीकृत डेटा सेन्टरको यन्त्र उपकरण तथा डेटा सेन्टरमा कुनै समस्या आई तथ्याङ्क नष्ट वा फेरबदल भएको खण्डमा त्यसलाई रिकभर गर्ने कुनै व्यवस्था समेत नरहेको गम्भिर तथ्य समेत प्रतिवेदनले बाहिर ल्याएको छ । यसरी कार्यालयको तथ्याङ्क भण्डारणको अवस्था उच्च जोखिममा रहेको छ ।

न त छ यन्त्र, उपकरण र डेटा सेन्टरको बीमा

सेवा प्रवाहका लागि खरिद गरेको यन्त्र, उपकरण, एप्लिकेसन, प्रणालीको उपयोगका क्रममा चोरी, आगलागी, दुर्घटना तथा प्राकृतिक प्रकोप वा दैवी विपत्तिका कारण जुनसुकै बखत हुन सक्ने तथ्याङ्क तथा मानवीय क्षति तथा नोक्सानीको न्यूनीकरण गर्न बीमा गर्नुपर्दछ ।

तर कार्यालयले आफ्नो डेटा सेन्टरको हालसम्म बीमा गरेको छैन । क्षति तथा नोक्सानीबाट सुरक्षित रहन पूर्वाधार, यन्त्र, उपकरण र सोको सञ्चालन तथा व्यवस्थापनमा संलग्न जनशक्तिको बीमा गर्न सरकारलाई महालेखाको सुझाव छ ।